OWASP SAMM
¿Qué es OWASP SAMM?
OWASP SAMMSoftware Assurance Maturity Model de OWASP, marco para medir y mejorar las practicas de desarrollo seguro de software de una organizacion a lo largo del tiempo.
El OWASP Software Assurance Maturity Model (SAMM) es un marco prescriptivo y medible que ayuda a las organizaciones a formular e implantar un programa de seguridad del software acorde con su perfil de riesgo. SAMM v2 se estructura en cinco funciones de negocio (Governance, Design, Implementation, Verification y Operations), cada una con practicas de seguridad y tres niveles de madurez con actividades concretas. Los equipos usan el toolbox de SAMM para evaluar la madurez actual, definir niveles objetivo y construir hojas de ruta que alineen las inversiones AppSec con el riesgo de negocio. SAMM es agnostico de la tecnologia, complementa ISO 27001, NIST SSDF y BSIMM, y es muy usado por empresas y reguladores que necesitan evidencia objetiva de madurez AppSec.
● Ejemplos
- 01
Un CISO realiza una evaluacion SAMM anual para justificar inversiones en threat modeling y capacidades SAST.
- 02
Mapear practicas de SAMM a tareas del NIST SSDF para demostrar cumplimiento ante un cliente federal estadounidense.
● Preguntas frecuentes
¿Qué es OWASP SAMM?
Software Assurance Maturity Model de OWASP, marco para medir y mejorar las practicas de desarrollo seguro de software de una organizacion a lo largo del tiempo. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa OWASP SAMM?
Software Assurance Maturity Model de OWASP, marco para medir y mejorar las practicas de desarrollo seguro de software de una organizacion a lo largo del tiempo.
¿Cómo funciona OWASP SAMM?
El OWASP Software Assurance Maturity Model (SAMM) es un marco prescriptivo y medible que ayuda a las organizaciones a formular e implantar un programa de seguridad del software acorde con su perfil de riesgo. SAMM v2 se estructura en cinco funciones de negocio (Governance, Design, Implementation, Verification y Operations), cada una con practicas de seguridad y tres niveles de madurez con actividades concretas. Los equipos usan el toolbox de SAMM para evaluar la madurez actual, definir niveles objetivo y construir hojas de ruta que alineen las inversiones AppSec con el riesgo de negocio. SAMM es agnostico de la tecnologia, complementa ISO 27001, NIST SSDF y BSIMM, y es muy usado por empresas y reguladores que necesitan evidencia objetiva de madurez AppSec.
¿Cómo defenderse de OWASP SAMM?
Las defensas contra OWASP SAMM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para OWASP SAMM?
Nombres alternativos comunes: Software Assurance Maturity Model, SAMM.
● Términos relacionados
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.
- compliance№ 781
OWASP Top 10
Documento de concienciación de OWASP que enumera los riesgos de seguridad más críticos para las aplicaciones web, actualizado periódicamente a partir de datos reales de vulnerabilidades.
- appsec№ 982
Programación segura
Práctica de escribir código fuente minimizando los defectos de seguridad, siguiendo patrones defensivos, reglas específicas del lenguaje y guías reconocidas.
- appsec№ 1150
Modelado de amenazas
Análisis estructurado que identifica activos, amenazas, vulnerabilidades y mitigaciones de un sistema para diseñar la seguridad desde el inicio, no añadirla al final.
- compliance№ 204
Cumplimiento normativo
Disciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.